MinhSec
Writer
Ba lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong công cụ lập trình AI Claude Code của Anthropic, cho phép tin tặc chiếm quyền điều khiển máy tính của lập trình viên và đánh cắp thông tin xác thực chỉ bằng cách mở một repository dự án.
Các vấn đề này được phát hiện bởi Check Point Research và đã được báo cáo cho Anthropic từ năm ngoái. Công ty sau đó đã phát hành bản vá và khuyến nghị người dùng cập nhật lên phiên bản mới nhất để đảm bảo an toàn. Đồng thời, Anthropic cũng cho biết sẽ bổ sung thêm nhiều lớp bảo mật nhằm giảm rủi ro trong tương lai.
Theo các nhà nghiên cứu, hai trong ba lỗ hổng (được theo dõi chung dưới mã CVE-2025-59536) liên quan đến việc các file cấu hình trong repository có thể tự động thực thi lệnh mà không cần sự đồng ý rõ ràng từ người dùng. Điều này tạo ra rủi ro chuỗi cung ứng phần mềm: chỉ một commit độc hại cũng có thể xâm nhập vào hệ thống của bất kỳ lập trình viên nào mở dự án đó.
Một lỗ hổng khác (CVE-2026-21852) ảnh hưởng đến các phiên bản Claude Code trước 2.0.65, cho phép đánh cắp API key thông qua cấu hình dự án độc hại mà không cần tương tác từ người dùng.
Đáng chú ý, tính năng Hooks của Claude Code vốn dùng để tự động thực thi các hành vi như format code có thể bị lợi dụng. Tin tặc chỉ cần chèn lệnh độc hại vào file cấu hình, và khi lập trình viên mở repository, lệnh này sẽ tự động chạy âm thầm. Trong thử nghiệm, các chuyên gia đã chứng minh kẻ tấn công có thể giành quyền truy cập từ xa vào terminal với toàn bộ quyền của người dùng.
Một lỗ hổng khác liên quan đến Model Context Protocol (MCP), cơ chế cho phép Claude Code kết nối với các dịch vụ bên ngoài. Bằng cách chỉnh sửa cấu hình MCP, kẻ tấn công có thể thực thi lệnh độc hại thậm chí trước khi cảnh báo hiển thị trên màn hình.
Nghiêm trọng hơn, lỗ hổng CVE-2026-21852 cho phép chặn và chuyển hướng giao tiếp API giữa Claude Code và máy chủ, từ đó ghi lại khóa API của lập trình viên mà họ chưa hề hay biết.
Các chuyên gia cảnh báo rằng việc tích hợp AI sâu vào quy trình phát triển phần mềm mang lại lợi ích lớn về năng suất, nhưng đồng thời mở ra những bề mặt tấn công hoàn toàn mới. Những file cấu hình vốn chỉ là dữ liệu thụ động nay lại trở thành thành phần điều khiển việc thực thi lệnh, biến chúng thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng phần mềm trong kỷ nguyên công cụ lập trình AI.(darkreading)
Các vấn đề này được phát hiện bởi Check Point Research và đã được báo cáo cho Anthropic từ năm ngoái. Công ty sau đó đã phát hành bản vá và khuyến nghị người dùng cập nhật lên phiên bản mới nhất để đảm bảo an toàn. Đồng thời, Anthropic cũng cho biết sẽ bổ sung thêm nhiều lớp bảo mật nhằm giảm rủi ro trong tương lai.
Khi file cấu hình trở thành “cửa hậu” nguy hiểm
Claude Code là công cụ dòng lệnh giúp lập trình viên tạo và chỉnh sửa mã, sửa lỗi, chạy lệnh shell và tự động hóa nhiều quy trình phát triển phần mềm. Nó nằm trong nhóm công cụ AI đang phát triển nhanh, tương tự như GitHub Copilot, Amazon CodeWhisperer hay OpenAI Codex.
Theo các nhà nghiên cứu, hai trong ba lỗ hổng (được theo dõi chung dưới mã CVE-2025-59536) liên quan đến việc các file cấu hình trong repository có thể tự động thực thi lệnh mà không cần sự đồng ý rõ ràng từ người dùng. Điều này tạo ra rủi ro chuỗi cung ứng phần mềm: chỉ một commit độc hại cũng có thể xâm nhập vào hệ thống của bất kỳ lập trình viên nào mở dự án đó.
Một lỗ hổng khác (CVE-2026-21852) ảnh hưởng đến các phiên bản Claude Code trước 2.0.65, cho phép đánh cắp API key thông qua cấu hình dự án độc hại mà không cần tương tác từ người dùng.
Đáng chú ý, tính năng Hooks của Claude Code vốn dùng để tự động thực thi các hành vi như format code có thể bị lợi dụng. Tin tặc chỉ cần chèn lệnh độc hại vào file cấu hình, và khi lập trình viên mở repository, lệnh này sẽ tự động chạy âm thầm. Trong thử nghiệm, các chuyên gia đã chứng minh kẻ tấn công có thể giành quyền truy cập từ xa vào terminal với toàn bộ quyền của người dùng.
Một lỗ hổng khác liên quan đến Model Context Protocol (MCP), cơ chế cho phép Claude Code kết nối với các dịch vụ bên ngoài. Bằng cách chỉnh sửa cấu hình MCP, kẻ tấn công có thể thực thi lệnh độc hại thậm chí trước khi cảnh báo hiển thị trên màn hình.
Nghiêm trọng hơn, lỗ hổng CVE-2026-21852 cho phép chặn và chuyển hướng giao tiếp API giữa Claude Code và máy chủ, từ đó ghi lại khóa API của lập trình viên mà họ chưa hề hay biết.
Các chuyên gia cảnh báo rằng việc tích hợp AI sâu vào quy trình phát triển phần mềm mang lại lợi ích lớn về năng suất, nhưng đồng thời mở ra những bề mặt tấn công hoàn toàn mới. Những file cấu hình vốn chỉ là dữ liệu thụ động nay lại trở thành thành phần điều khiển việc thực thi lệnh, biến chúng thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng phần mềm trong kỷ nguyên công cụ lập trình AI.(darkreading)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
